shiro緩存配置
㈠ ssm框架訪問控制應該怎麼做
這個就在在人員表了添加一個身份的欄位 user_rank ,用這個來控制。用戶登錄到時候就會用登錄信息,把這個 user_rank 欄位帶出來,在頁面或者鏈接時候加上判斷,哈這是簡單的,看下官方的。
shiro安全框架是目前為止作為登錄注冊最常用的框架,因為它十分的強大簡單,提供了認證、授權、加密和會話管理等功能 。
shiro能做什麼?
認證:驗證用戶的身份
授權:對用戶執行訪問控制:判斷用戶是否被允許做某事
會話管理:在任何環境下使用 Session API,即使沒有 Web 或EJB 容器。
加密:以更簡潔易用的方式使用加密功能,保護或隱藏數據防止被偷窺
Realms:聚集一個或多個用戶安全數據的數據源
單點登錄(SSO)功能。
為沒有關聯到登錄的用戶啟用 "Remember Me「 服務
Shiro 的四大核心部分
Authentication(身份驗證):簡稱為「登錄」,即證明用戶是誰。
Authorization(授權):訪問控制的過程,即決定是否有許可權去訪問受保護的資源。
Session Management(會話管理):管理用戶特定的會話,即使在非 Web 或 EJB 應用程序。
Cryptography(加密):通過使用加密演算法保持數據安全
shiro的三個核心組件:
Subject:正與系統進行交互的人,或某一個第三方服務。所有 Subject 實例都被綁定到(且這是必須的)一個SecurityManager 上。
SecurityManager:Shiro 架構的心臟,用來協調內部各安全組件,管理內部組件實例,並通過它來提供安全管理的各種服務。當 Shiro 與一個 Subject 進行交互時,實質上是幕後的 SecurityManager 處理所有繁重的 Subject 安全操作。
Realms:本質上是一個特定安全的 DAO。當配置 Shiro 時,必須指定至少一個 Realm 用來進行身份驗證和/或授權。Shiro 提供了多種可用的 Realms 來獲取安全相關的數據。如關系資料庫(JDBC),INI 及屬性文件等。可以定義自己 Realm 實現來代表自定義的數據源。
shiro整合SSM框架:
1.加入 jar 包:以下jar包自行網路下載
准備好了,接下來要寫Realm方法了,新建shiro包,在包下新建MyRealm.java文件繼承AuthorizingRealm
package shiro;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authc.credential.HashedCredentialsMatcher;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.authz.SimpleAuthorizationInfo;import org.apache.shiro.crypto.hash.Md5Hash;import org.apache.shiro.crypto.hash.SimpleHash;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;import org.apache.shiro.util.ByteSource;import org.springframework.beans.factory.annotation.Autowired;import bean.user;import .user;public class MyRealm extends AuthorizingRealm {
@Autowired private user user;
String pass; /**
* 授權:
*
*/
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
Object principal = principalCollection.getPrimaryPrincipal();//獲取登錄的用戶名
if("admin".equals(principal)){ //兩個if根據判斷賦予登錄用戶許可權
info.addRole("admin");
} if("user".equals(principal)){
info.addRole("list");
}
info.addRole("user");
return info;
} /*
* 用戶驗證
*
*/
@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1. token 中獲取登錄的 username! 注意不需要獲取password.
Object principal = token.getPrincipal();
//2. 利用 username 查詢資料庫得到用戶的信息.
user user=user.findbyname((String) principal); if(user!=null){
pass=user.getPass();
}
String credentials = pass; //3.設置鹽值 ,(加密的調料,讓加密出來的東西更具安全性,一般是通過資料庫查詢出來的。 簡單的說,就是把密碼根據特定的東西而進行動態加密,如果別人不知道你的鹽值,就解不出你的密碼)
String source = "abcdefg";
ByteSource credentialsSalt = new Md5Hash(source);
//當前 Realm 的name
String realmName = getName(); //返回值實例化
SimpleAuthenticationInfo info =
new SimpleAuthenticationInfo(principal, credentials,
credentialsSalt, realmName);
return info;
} //init-method 配置.
public void setCredentialMatcher(){
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashAlgorithmName("MD5");//MD5演算法加密
credentialsMatcher.setHashIterations(1024);//1024次循環加密
setCredentialsMatcher(credentialsMatcher);
}
//用來測試的算出密碼password鹽值加密後的結果,下面方法用於新增用戶添加到資料庫操作的,我這里就直接用main獲得,直接資料庫添加了,省時間
public static void main(String[] args) {
String saltSource = "abcdef";
String hashAlgorithmName = "MD5";
String credentials = "passwor";
Object salt = new Md5Hash(saltSource); int hashIterations = 1024;
Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
System.out.println(result);
}
}
好了,接下來我們寫一個簡單的action來通過shiro登錄驗證。
//登錄認證
@RequestMapping("/shiro-login") public String login(@RequestParam("username") String username,
@RequestParam("password") String password){
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
try { //執行認證操作. subject.login(token);
}catch (AuthenticationException ae) {
System.out.println("登陸失敗: " + ae.getMessage()); return "/index";
}
return "/shiro-success";
}
//溫馨提示:記得在注冊中密碼存入資料庫前也記得加密哦,提供一個utils方法//進行shiro加密,返回加密後的結果public static String md5(String pass){
String saltSource = "blog";
String hashAlgorithmName = "MD5";
Object salt = new Md5Hash(saltSource);int hashIterations = 1024;
Object result = new SimpleHash(hashAlgorithmName, pass, salt, hashIterations);
String password = result.toString();return password;
}
好了,shiro登錄驗證到這里完了
㈡ SpringBoot + Shiro (四)緩存&記住密碼
最終demo
到這節為止,我們已經實現了身份驗證和許可權驗證。但是,如果我們登錄之後多次訪問 http://localhost:8080/userInfo/userDel 的話,會發現許可權驗證會每次都執行一次。這是有問題的,因為像用戶的許可權這些我們提供給shiro一次就夠了。
下面,我們開始給shiro添加緩存支持:
在 com.example.demo.config.Shiro.ShiroConfiguration 中添加以下方法。
將緩存對象注入到 SecurityManager 中:
在src/main/resouces/config中添加ehcache-shiro.xml配置文件:
啟動項目,再多次訪問 http://localhost:8080/userInfo/userDel ,這時候只會在後台列印一次配置許可權的信息了,說明shiro緩存起了作用。
---------------------下面我們開始配置記住密碼-----------
將rememberMeManager注入到SecurityManager中
在 ShiroFilterFactoryBean 中添加記住我過濾器 user ,添加 user 過濾器的資源在記住我或認證之後就可以直接訪問了。
最後,在login.html頁面添加記住我單選框
啟動項目,正常登錄後關閉瀏覽器,再打開瀏覽器輸入 http://localhost:8080/index ,這時候就可以直接訪問index頁面,不需要再登錄了。
SpringBoot + Shiro (一)基礎工程搭建
SpringBoot + Shiro (二)身份校驗和角色設置
SpringBoot + Shiro (三)許可權
SpringBoot + Shiro (四)緩存&記住密碼
SpringBoot + Shiro (五)驗證碼
最後,感謝幾位作者的文章解惑:
springboot整合shiro-登錄認證和許可權管理
Spring Boot Shiro許可權管理【從零開始學Spring Boot】
Spring boot 中使用Shiro
最後幫朋友打個小廣告
一個有趣的迷你小程序
㈢ SpringBoot進階之整合Shiro實現緩存和會話管理
大家好,一直以來我都本著用最通俗的話理解核心的知識點, 我認為所有的難點都離不開 「基礎知識」 的鋪墊。目前正在出一個 SpringBoot 長期系列教程,從入門到進階, 篇幅會較多~
「大佬可以繞過 ~」
如果你是一路看過來的,很高興你能夠耐心看完。之前帶大家學了 Springboot 基礎部分,對基本的使用有了初步的認識, 接下來的幾期內容將會帶大家進階使用,會先講解基礎 中間件 的使用和一些場景的應用,或許這些技術你聽說過,沒看過也沒關系,我會帶大家一步一步的入門,耐心看完你一定會有 收獲 ~
上期帶大家學習了 Shiro 中如何進行許可權認證,本期將帶大家學習 Shiro 中如何進行 緩存和會話管理 ,最後我們將做一個在線用戶管理以及強制下線用戶的功能,同樣的,我們集成到 Springboot 中。
首先我們要明白使用緩存的原因,為啥要用它 還記得之前帶大家實現的 用戶認證 和 許可權認證 嗎,那裡我使用了 MockUser ,真實場景中是要去數據查詢的,這樣一來就會產生耗時,請求多的時候資料庫肯定忙不過來了,所以我們需要使用緩存來提高程序響應速度
緩存使用 Redis ,下面就帶大家整一下:
修改 ShiroConfig ,添加方法
這樣就可以了,大家可以把測試獲取用戶的地方改成資料庫獲取,看下 控制台 sql日誌會明顯減少,因為有一部分是從緩存拿的
這部分功能還是比較好玩的,學完可以自由發揮做一個房間功能,可以加入可以踢人,下面我們就開整
修改 ShiroConfig ,添加方法,因為我們使用的是 Redis 緩存
實現 SessionListener
最後同樣的,想要開啟需要我們注入到 Manager 中:
我們先定義一個類,用來記錄在線用戶:
那麼怎麼獲取呢?我們定義一個方法,大家實踐中可以抽到 Service 層,這里方便演示,我直接寫到控制器里
如果你看誰不爽,可以直接讓他下線,hhh~
是不是很簡單,這里就不演示了,大家自行試試
本期內容就到這里結束了,總結一下,本節主要講了 Shiro 如何進行緩存以及如何進行用戶會話管理,大家可以舉一反三,做一些小功能嘗試嘗試
下期給大家講講 Shiro 中如何整合 JWT ,這個大家應該不陌生,如果不知道啥是 JWT 也沒關系,我會帶大家一步一步入門,下期也是 Shiro 系列的終極篇,內容可能有點多,耐心看完哦。歡迎加群一起學習交流 ~